Re: BIND9 sous squeeze
Thanh Taduy a écrit : L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire autant de fichier de zone que j'ai de sous domaine, n'est ce pas ? Oui. C'est pour cela que j'ai suggéré dnsmasq à la place. A la base c'est un simple proxy DNS qui relaie les requêtes vers un serveur DNS récursif, mais il peut aussi répondre de lui-même pour les noms et adresses définis dans /etc/hosts, sans devoir créer de zone. Une autre solution, si tu as accès au contenu complet de la zone publique originelle, consiste à créer une version locale de la zone en y ajoutant les enregistrements privés. Il faudra bien sûr la mettre à jour manuellement à chaque changement de la zone publique. Inutile de faire des views si le serveur DNS local ne sert pas les requêtes externes.
Re: BIND9 sous squeeze
On Thu, Aug 13, 2015 at 10:28:04AM CEST, Pascal Hambourg pas...@plouf.fr.eu.org said: Thanh Taduy a écrit : L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire autant de fichier de zone que j'ai de sous domaine, n'est ce pas ? Oui. C'est pour cela que j'ai suggéré dnsmasq à la place. A la base c'est un simple proxy DNS qui relaie les requêtes vers un serveur DNS récursif, mais il peut aussi répondre de lui-même pour les noms et adresses définis dans /etc/hosts, sans devoir créer de zone. Une autre solution, si tu as accès au contenu complet de la zone publique originelle, consiste à créer une version locale de la zone en y ajoutant les enregistrements privés. Il faudra bien sûr la mettre à jour manuellement à chaque changement de la zone publique. Inutile de faire des views si le serveur DNS local ne sert pas les requêtes externes. unbound aussi sait transmettre à un autre résolveur, tout en répondant pour quelques enregistrements définis localement.
Re: BIND9 sous squeeze
Le 13 août 2015 11:54, Erwan David er...@rail.eu.org a écrit : On Thu, Aug 13, 2015 at 10:28:04AM CEST, Pascal Hambourg pas...@plouf.fr.eu.org said: Thanh Taduy a écrit : L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire autant de fichier de zone que j'ai de sous domaine, n'est ce pas ? Oui. C'est pour cela que j'ai suggéré dnsmasq à la place. A la base c'est un simple proxy DNS qui relaie les requêtes vers un serveur DNS récursif, mais il peut aussi répondre de lui-même pour les noms et adresses définis dans /etc/hosts, sans devoir créer de zone. Une autre solution, si tu as accès au contenu complet de la zone publique originelle, consiste à créer une version locale de la zone en y ajoutant les enregistrements privés. Il faudra bien sûr la mettre à jour manuellement à chaque changement de la zone publique. Inutile de faire des views si le serveur DNS local ne sert pas les requêtes externes. Dans cette histoire, je n'ai malheureusement pas la main sur la zone publique soit pour faire une modif, soit pour faire uen copie en locale. C'est ça qui est malheureux. unbound aussi sait transmettre à un autre résolveur, tout en répondant pour quelques enregistrements définis localement. Je vais de ce pas jeter un oeil et sur dnsmasq et sur unbound. D'après ce que j'en tire de vos suggestions, c'est qu'il n'y a visiblement pas de solution simple qu'on peut faire uniquement avec Bind et avec views. Merci à tous de m'avoir éclairé sur ce sujet. Much appreciated - comme dit souvent mon chef - :-)
Re: BIND9 sous squeeze
Le 16659ième jour après Epoch, thanh taduy écrivait: Bonjour Pascal, C'est exactement ce dont j'ai besoin : une zone qui peut passer la main à mon FAI si un sous domaine n'est pas déclarée. Votre idée m'intéresse. N'étant pas un expert du DNS, pourriez-vous m'en dire plus ? Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ? Bonjour. À y regarder rapidement, je vois plusieurs solutions possible, et il y en a sûrement d'autres: 1) Créer sur le DNS local une entrée de type: prive NS tondnslocal.domaine.com. ou peut-être même simplement une entrée de type SOA sur le domaine 'prive.domaine.com', afin qu'il soit autoritaire sur la zone 'privé.domaine.com', et définir pour l'ensemble des machines du réseau local le résolveur comme étant tondnslocal.domaine.com Tes machines privées devront être nommées dans ce sous-domaine (par exemple machine1.prive.domaine.com). Insérer dans le DNS un forwarding vers les DNS du FAI afin qu'il passe la main sur les domaines dans lesquels il n'est pas autorité 2) Gérer entièrement en local le domaine 'domaine.com' et utiliser des vues pour différentier les réponses. Les requêtes externes au LAN ne répondront pas sur les machines 'prive1.domaine.com' par exemple. 3) S'en foutre complètement et insérer dans le DNS distant des entrées pour les machines privées en répondant par des adresses du LAN. De toute façon elles seront inaccessibles de l'extérieur si le LAN est du type adresses privées
Re: BIND9 sous squeeze
Pardon, vieille habitude de Répondre à tous :-(
Le 12 août 2015 21:06, Pascal Hambourg pas...@plouf.fr.eu.org a écrit :
(Inutile d'envoyer une copie privée, je suis abonné à la liste)
thanh.ta...@gmail.com a écrit :
C'est exactement ce dont j'ai besoin : une zone qui peut passer la main
à mon FAI si un sous domaine n'est pas déclarée.
Votre idée m'intéresse. N'étant pas un expert du DNS, pourriez-vous m'en
dire plus ?
Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ?
Supposons le domaine principal example.com. Pour créer un zone pour un
sous-domaine privé private1.example.com, on fait une déclaration de zone
maître classique :
zone private1.example.com {
type master ;
file /path/to/private1.example.com.db ;
}
Exemple de contenu du fichier de zone /path/to/private1.example.com.db
(en fait le fichier de zone ne peut pas être générique puisque l'adresse
IP de l'enregistrement A est différente...) :
@ IN SOA ton.serveur.dns. ton.email. (
2015081200 ; serial (version)
6H ; refresh period (6 hours)
1H ; retry interval (1 hour)
2W ; expire time (2 weeks)
1H ; default ttl (1 hour)
)
IN NS ton.serveur.dns.
IN A 192.0.2.47 ; adresse de private1.example.com
Mais je me demande s'il ne serait pas possible de faire plus simple avec
un proxy DNS comme dnsmasq à la place de bind9.
L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire autant de
fichier de zone que j'ai de sous domaine, n'est ce pas ?
Envoyé de mon iPhone
Est-ce un excuse pour justifier le top-posting et les lignes trop longues ?
Non, juste simplement que j'ai lu ta réponse dans les transports. C'est un
problème qui m'intéresse et que je souhaite connaitre la solution.
Re: BIND9 sous squeeze
Christophe a écrit : Ma question est, comment dois-je écrire mon fichier name.conf ainsi que mon fichier de zone de telle manière à ce que si quelqu'un du LAN essaie d'atteindre un serveur Privé, le DNS interne lui résolvera le nom en local, et si l'entrée n'est pas dans cette zone locale, le DNS transférera cette requête vers le DNS de mon FAI. Dans bind9, ca s'appelle des views . Les vues ou views, c'est fait pour qu'un serveur DNS autoritaire serve - par exemple - deux versions différentes d'une zone selon l'origine des requêtes. Mais dans le cas présent, sauf erreur d'interprétation de ma part, ce n'est pas ce qui est demandé. Si j'ai bien compris, le serveur DNS local ne doit faire autorité que pour les noms privés de la zone et récursif pour le reste de la zone, sans dupliquer la partie publique de la zone. A ma connaissance, ce n'est pas possible : un serveur fait autorité pour une zone entière ou pas du tout. Le seul moyen que je vois, c'est de créer une zone fille locale pour et de même nom que chaque nom privé. On peut utiliser le même fichier de zone générique pour toutes les zones filles, seul le nom de la zone changeant.
Re: BIND9 sous squeeze
Bonjour Pascal, C'est exactement ce dont j'ai besoin : une zone qui peut passer la main à mon FAI si un sous domaine n'est pas déclarée. Votre idée m'intéresse. N'étant pas un expert du DNS, pourriez-vous m'en dire plus ? Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ? Je vous remercie de votre aide, Bien à vous Thanh Envoyé de mon iPhone Le 12 août 2015 à 13:54, Pascal Hambourg pas...@plouf.fr.eu.org a écrit : Christophe a écrit : Ma question est, comment dois-je écrire mon fichier name.conf ainsi que mon fichier de zone de telle manière à ce que si quelqu'un du LAN essaie d'atteindre un serveur Privé, le DNS interne lui résolvera le nom en local, et si l'entrée n'est pas dans cette zone locale, le DNS transférera cette requête vers le DNS de mon FAI. Dans bind9, ca s'appelle des views . Les vues ou views, c'est fait pour qu'un serveur DNS autoritaire serve - par exemple - deux versions différentes d'une zone selon l'origine des requêtes. Mais dans le cas présent, sauf erreur d'interprétation de ma part, ce n'est pas ce qui est demandé. Si j'ai bien compris, le serveur DNS local ne doit faire autorité que pour les noms privés de la zone et récursif pour le reste de la zone, sans dupliquer la partie publique de la zone. A ma connaissance, ce n'est pas possible : un serveur fait autorité pour une zone entière ou pas du tout. Le seul moyen que je vois, c'est de créer une zone fille locale pour et de même nom que chaque nom privé. On peut utiliser le même fichier de zone générique pour toutes les zones filles, seul le nom de la zone changeant.
Re: BIND9 sous squeeze
(Inutile d'envoyer une copie privée, je suis abonné à la liste)
thanh.ta...@gmail.com a écrit :
C'est exactement ce dont j'ai besoin : une zone qui peut passer la main à mon
FAI si un sous domaine n'est pas déclarée.
Votre idée m'intéresse. N'étant pas un expert du DNS, pourriez-vous m'en dire
plus ?
Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ?
Supposons le domaine principal example.com. Pour créer un zone pour un
sous-domaine privé private1.example.com, on fait une déclaration de zone
maître classique :
zone private1.example.com {
type master ;
file /path/to/private1.example.com.db ;
}
Exemple de contenu du fichier de zone /path/to/private1.example.com.db
(en fait le fichier de zone ne peut pas être générique puisque l'adresse
IP de l'enregistrement A est différente...) :
@ IN SOA ton.serveur.dns. ton.email. (
2015081200 ; serial (version)
6H ; refresh period (6 hours)
1H ; retry interval (1 hour)
2W ; expire time (2 weeks)
1H ; default ttl (1 hour)
)
IN NS ton.serveur.dns.
IN A 192.0.2.47 ; adresse de private1.example.com
Mais je me demande s'il ne serait pas possible de faire plus simple avec
un proxy DNS comme dnsmasq à la place de bind9.
Envoyé de mon iPhone
Est-ce un excuse pour justifier le top-posting et les lignes trop longues ?
Re: BIND9 sous squeeze
Hello,
Le 09/08/2015 17:19, Thanh Taduy a écrit :
Bonjour à tous,
Je me remets à vos connaissances sur les problèmes concernant BIND, car
je pense que ce sera un jeu d'enfant pour vous.
Je suis sous Debian squeeze et j'essaie de faire la chose suivante :
J'ai un domaine qui s'appelle admettons domaine.com
http://domaine.com, ce domaine possède un certain nombre d'entrées A
qui s'appellent admettons Public1, Public2,
C'est entrées sont connues publiquement, joignables de n'importe tout,
et elles sont déclarées sur un DNS externe au LAN.
Je voudrais maintenant rajouter des entrées qui seront privées (Privé1,
Privé2, ...). Ces entrées seront déclarées sur un DNS du LAN en interne.
La zone qui est déclarée sur mon DNS privé est par conséquent
domaine.com http://domaine.com.
Ma question est, comment dois-je écrire mon fichier name.conf ainsi que
mon fichier de zone de telle manière à ce que si quelqu'un du LAN essaie
d'atteindre un serveur Privé, le DNS interne lui résolvera le nom en
local, et si l'entrée n'est pas dans cette zone locale, le DNS
transférera cette requête vers le DNS de mon FAI.
Je vous remercie par avance de toute les suggestions que vous pouvez me
faire.
Bon dimanche
Thanh
Dans bind9, ca s’appelle des views .
Il te faut définir un fichier de zone par emplacement (alias plage
d'adresse IPv4 ou IPv6) qui requête le DNS :
et dans la configuration de bind (simple exemple) :
view net0 {
match-clients { 192.168.0.0/24; };
recursion yes;
zone domaine.com {
type master;
file /etc/bind/zones/db.net0.domaine.com;
};
};
view net1 {
match-clients { 192.168.1.0/24; };
recursion yes;
zone domaine.com {
type master;
file /etc/bind/zones/db.net1.domaine.com;
};
};
En espérant que cela aide.
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/55c7a5d4.6080...@stuxnet.org
Re: BIND9 sous squeeze
je crois que tu as juste la récursivité à activer. ( allow-recursion ) F. Le Dimanche 9 août 2015 17h19, Thanh Taduy thanh.ta...@gmail.com a écrit : Bonjour à tous, Je me remets à vos connaissances sur les problèmes concernant BIND, car je pense que ce sera un jeu d'enfant pour vous.Je suis sous Debian squeeze et j'essaie de faire la chose suivante :J'ai un domaine qui s'appelle admettons domaine.com, ce domaine possède un certain nombre d'entrées A qui s'appellent admettons Public1, Public2,C'est entrées sont connues publiquement, joignables de n'importe tout, et elles sont déclarées sur un DNS externe au LAN. Je voudrais maintenant rajouter des entrées qui seront privées (Privé1, Privé2, ...). Ces entrées seront déclarées sur un DNS du LAN en interne. La zone qui est déclarée sur mon DNS privé est par conséquent domaine.com. Ma question est, comment dois-je écrire mon fichier name.conf ainsi que mon fichier de zone de telle manière à ce que si quelqu'un du LAN essaie d'atteindre un serveur Privé, le DNS interne lui résolvera le nom en local, et si l'entrée n'est pas dans cette zone locale, le DNS transférera cette requête vers le DNS de mon FAI. Je vous remercie par avance de toute les suggestions que vous pouvez me faire.Bon dimancheThanh
BIND9 sous squeeze
Bonjour à tous, Je me remets à vos connaissances sur les problèmes concernant BIND, car je pense que ce sera un jeu d'enfant pour vous. Je suis sous Debian squeeze et j'essaie de faire la chose suivante : J'ai un domaine qui s'appelle admettons domaine.com, ce domaine possède un certain nombre d'entrées A qui s'appellent admettons Public1, Public2, C'est entrées sont connues publiquement, joignables de n'importe tout, et elles sont déclarées sur un DNS externe au LAN. Je voudrais maintenant rajouter des entrées qui seront privées (Privé1, Privé2, ...). Ces entrées seront déclarées sur un DNS du LAN en interne. La zone qui est déclarée sur mon DNS privé est par conséquent domaine.com. Ma question est, comment dois-je écrire mon fichier name.conf ainsi que mon fichier de zone de telle manière à ce que si quelqu'un du LAN essaie d'atteindre un serveur Privé, le DNS interne lui résolvera le nom en local, et si l'entrée n'est pas dans cette zone locale, le DNS transférera cette requête vers le DNS de mon FAI. Je vous remercie par avance de toute les suggestions que vous pouvez me faire. Bon dimanche Thanh
